Como você gerencia sua configuração do iptables do Linux em uma máquina que funciona como um roteador?

Navegue suas respostas
7

Eu tenho algumas máquinas Linux que agem como roteadores / firewalls para minhas redes e tenho um script que executa todos os comandos do iptables para definir minhas regras. Isso parece-me uma maneira muito boba de fazer isso.

Como você faz isso? Existe um programa com arquivos de configuração que são um pouco mais fáceis de gerenciar? Tem uma GUI ou interface web?

    
por sjbotha 05.05.2009 / 20:52

7 respostas

5

Eu uso firehol combinado com uma interface web que desenvolvi para gerenciar o arquivo de configuração.

Eu gosto muito do firehol, ele fornece uma sintaxe mais simples, usando o iptables diretamente.

  • Você pode usar o comando firehol debug para exatamente quais comandos do iptables são gerados
  • Se você tiver um erro em sua configuração e iniciar o firewall, o firehol detectará o erro e voltará ao estado anterior.
  • Firehol tem um comando 'try' que você pode usar para iniciar o firewall remotamente, se suas alterações matarem sua conexão, firehol irá reverter para o estado anterior, se você não matar sua conexão, ele pedirá que você confirme o troco.
  • O FireHl tem um grande conjunto de serviços pré-definidos, para que você não precise se lembrar exatamente de quais portas você precisa ter quais portas abrir para algum protocolo obscuro.
por 05.05.2009 / 21:00
4

Eu usei o Firewall Builder e gostei bastante dele - é um programa GUI projetado para gerenciar configurações de firewall, principalmente em hosts remotos que poderiam ser servidores, roteadores, o que for. A interface parece um pouco intimidante no começo, mas na minha experiência, vale a pena o par de horas ou assim é preciso descobrir isso. (E aparentemente eles lançaram recentemente a versão 3 desde a última vez que verifiquei, então possivelmente a GUI ficou mais intuitiva)

    
por 07.05.2009 / 07:51
3

Para RedHat e sistemas operacionais relacionados (e talvez para outros), você pode usar o script para criar o firewall e, em seguida, service iptables ... para lidar com ele a partir daí. Isto é o que eu faço. Quando eu mudo minha configuração do iptables, eu uso um script. Então eu guardo com 

service iptables save

Neste ponto, a máquina agora sempre apresentará as novas regras. Você pode descarregar uma breve versão de suas regras atuais com 

service iptables status
    
por 05.05.2009 / 21:04
3

Nós usamos shorewall - "iptables facilitado". Uma GUI está disponível através do Webmin 1.060 e posterior

The Shoreline Firewall, more commonly known as “Shorewall”, is high-level tool for configuring Netfilter. You describe your firewall/gateway requirements using entries in a set of configuration files. Shorewall reads those configuration files and with the help of the iptables, iptables-restore, ip and tc utilities, Shorewall configures Netfilter and the Linux networking subsystem to match your requirements. Shorewall can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system.

    
por 05.05.2009 / 21:10
2

Não consigo ver nada de errado com o seu método, supondo que cada máquina tenha regras diferentes.

A maneira que eu normalmente configuro as regras de firewall é digitando-as normalmente na linha de comando e executando iptables-save > /etc/iptables_rules , depois insiro o seguinte em /etc/network/if-pre-up.d/iptables , então quando a interface de rede for iniciada, as regras serão importadas automaticamente. / p> 

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
    
por 05.05.2009 / 21:00
2

Eu faço exatamente o que você descreveu, exceto separando as regras em vários sub-arquivos (private, dmz, vpn), e configurando um arquivo de variables para tornar as regras mais legíveis.

    
por 05.05.2009 / 21:00
2

Você pode usar o pfSense em vez do seu roteador, ele tem muitos funcionalidades :

  • Firewall
  • Tradução de endereços de rede (NAT)
  • Redundância
  • Balanceamento de carga Relatórios e monitoramento

  • Gráficos RRD

    Os gráficos RRD no pfSense mantêm informações históricas sobre o seguinte.

    • utilização da CPU
    • Taxa de transferência total
    • Estados do firewall
    • Taxa de transferência individual para todas as interfaces
    • Taxas de pacotes por segundo para todas as interfaces
    • tempos de resposta de ping dos gateways de interface WAN
    • Filas do shaper de tráfego em sistemas com modelagem de tráfego ativadas
  • VPN
    • IPsec
    • PPTP
    • OpenVPN

  • DNS dinâmico

    Através de:

    • DynDNS
    • DHS
    • DyNS
    • easyDNS
    • Não-IP
    • ODS.org
    • ZoneEdit
  • Portal cativo
  • Servidor DHCP e retransmissão

Tem uma configuração simples e fácil de utilizar baseada na Web, basta olhar para os screen-shots .

O melhor de tudo é que você pode criá-lo sozinho com hardware comum e é Código aberto .

    
por 19.07.2009 / 18:38

Tags

iSCSI para bancos de dados, boa ideia linux: traceroute operação de envio não permitida para servidor remoto